我想使用MySqlParameter 将 tableName 传递给查询(以防止 slq 注入)
MySqlCommand cmd = new MySqlCommand("select * from @table"), cn)
cmd.Parameters.AddWithValue("@table",TableName);
但这不起作用。如何将 tableName 作为参数传递
附:我试图将 @ 更改为 ? - 不工作
【问题讨论】:
标签: c# mysql mysql-connector mysql-parameter
您不能将表名作为参数传递。 您必须使用动态 SQL 来执行此操作,因此您必须字符串集中来执行此操作,例如
MySqlCommand cmd = new MySqlCommand(String.Format("select * from {0}",tableName), cn)
但是因为用户输入了tableName,所以SQL注入是可能的。您可以使用此 SQL 来确定该表是否存在,然后再从中查询任何内容:
SELECT table_name
FROM information_schema.tables
WHERE table_schema = 'databasename'
AND table_name = 'tablename';
(您可以完美地对这个查询进行参数化,这样就可以消除SQL注入)
一般来说,要小心 SQL 注入。但是如果你使用这个内部(不暴露给用户),那么 SQL 注入应该没有问题。
更好的是,你可以构造一个存储过程来处理这个问题,就像我的另一个答案:
【讨论】:
tableName = "users ; DROP TABLE users;" ,这将删除表